Windows 2003伺服器安全設定之連接埠限制與磁碟使用權限設定

裝好前面我說的一大堆什麼IIS   SERV-U  SQL2000  PHP  MYSQL這些東西.
一般人,也就是用這些服務吧???

1,本地安全性原則或者網卡那裡做連接埠限制
本地安全性原則:
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些連接埠(SERV-U,一般開放9000-9049這50個連接埠)
外->本地 3389
然後按照具體情況.開啟SQL SERVER和MYSQL的連接埠
外->本地 1433
外->本地 3306
本地->外 80
除了明確允許的一律阻止.這個是安全規則的關鍵.
外->本地 所有協議 阻止


網卡連接埠限制:
<img src="attachments/month_0703/k200731715121.jpg" border="0" alt=""/>
填寫相應的TCP連接埠,如WEB用到80連接埠,SERV-U用到21連接埠,遠端桌面用3389連接埠,SQLSERVER開放外網串連,用到1433連接埠,MYSQL開放遠端連線,用

到3306連接埠等,
切記:如果是開了遠程,一定要開3389連接埠啊,要不你就連不上遠程了..(如果你改了3389連接埠,就另外填寫你改的那個)

2,更改預設管理員的帳戶名稱
將administrator改名為你好記的名字,密碼設長點,,最少8位以上,,大小寫,字元等.

3,磁碟使用權限設定..
將所有盤符的許可權(如C,D,E等),全部改為只有
administrators組 全部許可權
system 全部許可權
如圖:


主要設定C盤許可權:
C盤的所有子目錄和子檔案繼承C盤的administrator(組或使用者)和SYSTEM所有許可權的兩個許可權
修改
C:/Program Files/Common Files 開放Everyone　預設的讀取及運行 列出檔案目錄 讀取三個許可權
C:/WINDOWS/ 開放Everyone　預設的讀取及運行 列出檔案目錄 讀取三個許可權
C:/WINDOWS/Temp 開放Everyone 修改,讀取及運行,列出檔案目錄,讀取,寫入許可權
如圖:

這三個目錄許可權都是這樣設定


Everyone 許可權,很多地方都有,現在,我們一個一個找他們出來,刪了!!

C:/Documents and Settings下All Users/Default User目錄及其子目錄,這個比較煩,要認真找找喔.
C:/WINDOWS/PCHealth
C:/windows/Installer


現在WebShell就無法在系統目錄內寫入任何檔案了,如木馬,EXE等等.
當然也可以使用更嚴格的許可權.
在WINDOWS下分別目錄設定許可權.
可是比較複雜.效果也並不明顯.而且,,還會很容易頭暈..(比如我  ^O^)

4,設定系統EXE檔案許可權
開啟c:/windows  搜尋:
net.exe;cmd.exe;netstat.exe;regedit.exe;at.exe;cacls.exe;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;
ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;
runonce.exe;syskey.exe

修改許可權，刪除所有的使用者只儲存Administrators 和SYSTEM為所有許可權
如圖: